Güvenliğe Bağlılığımız

MoneyLead güvenliği ciddiye alır. Kullanıcılarımızı korumamıza ve sistemlerimizi geliştirmemize yardımcı olan güvenlik araştırmacılarının çalışmalarını takdir ediyoruz. Bu sayfa, güvenlik açığı bildirim politikamızı ve güvenlik sorunlarını sorumlu bir şekilde nasıl bildireceğinizi özetlemektedir.

kapsam

Kapsamında:

  • moneylead.gg ve tüm alt alan adları
  • Tüm halka açık web uygulamaları
  • Tüm API uç noktaları
  • Kimlik doğrulama ve yetkilendirme mekanizmaları
  • Veri depolama ve iletim güvenliği

Kapsam Dışı:

  • Sosyal mühendislik saldırıları
  • Fiziksel güvenlik testleri
  • Hizmet Reddi (DoS/DDoS) saldırıları
  • Üçüncü taraf hizmetler (GitHub, CDN sağlayıcıları, vb.)
  • Spam veya sosyal medya saldırıları

Nasıl Rapor Edilir

Bir güvenlik açığını bildirirken lütfen şunları ekleyin:

  1. Tanım - Güvenlik açığının açık bir şekilde açıklanması
  2. Çoğaltmanın Adımları - Sorunu yeniden üretmeye yönelik ayrıntılı adımlar
  3. darbe - Potansiyel güvenlik etkisi ve etkilenen kullanıcılar
  4. Kavramın ispatı - Herhangi bir PoC kodu veya ekran görüntüsü
  5. çevre - Tarayıcı, işletim sistemi ve diğer ilgili ayrıntılar
  6. İletişim bilgileriniz - Takip için size nasıl ulaşabiliriz?

Bahşiş: Hassas bilgileriniz için lütfen e-postanızı PGP anahtarımızı kullanarak şifreleyin.

Yanıt Zaman Çizelgesi

1️⃣ İlk tepki - Raporun sunulmasından itibaren 48 saat içinde
2️⃣ Durum güncelleme - Triyaj sonuçları 7 gün içinde
3️⃣ Çözüm Zaman Çizelgesi - Ciddiyete bağlıdır (triyajdan sonra bildirilir)
4️⃣ Ifşa - Düzeltme dağıtıldıktan sonra koordineli açıklama

Güvenli liman

Bu politikaya uygun olarak yürütülen güvenlik araştırmalarını şu şekilde değerlendiriyoruz:

  • Yetkili yürürlükteki yasalara uygun olarak
  • muaf Araştırmaya müdahale edecek Hizmet Şartları kısıtlamalarından
  • yasal ve sistemlerimizin güvenliğine yardımcı olur

Yasal işlem başlatmayacağız şu araştırmacılara karşı:

  • Gizlilik ihlallerini ve kesintilerini önlemek için iyi niyetli çaba gösterin
  • Yalnızca sahip olduğunuz hesaplarla veya açık izninizle etkileşimde bulunun
  • Kavram kanıtının ötesindeki güvenlik açıklarından yararlanmayın
  • Güvenlik açıklarını derhal bildirin
  • Biz bunları ele alana kadar güvenlik açığı ayrıntılarını gizli tutun

Şifreleme

Hassas güvenlik açıkları hakkında güvenli iletişim için lütfen mesajlarınızı şifrelemek üzere PGP genel anahtarımızı kullanın:

# Import our public key
curl https://moneylead.gg/.well-known/pgp-key.txt | gpg --import

# Encrypt your message
gpg --armor --encrypt --recipient security@moneylead.gg message.txt

# Verify our security.txt signature
gpg --verify https://moneylead.gg/.well-known/security.txt

Önemli ayrıntılarımız:

  • Tip: RSA 4096 bit
  • Parmak izi: 8BBF 9CA4 3F44 4F46 40C1 E69B 439F CA18 BA1A 9BCE
  • Bitiş tarihi: 2027-10-14

Teşekkürler

Güvenliğimizi geliştirmemize yardımcı olan güvenlik araştırmacılarını takdir ettiğimize inanıyoruz. Güvenlik açıklarını sorumlu bir şekilde ifşa eden araştırmacılar şunlar olabilir:

  • Web sitemizde kamuya açık olarak belirtilmiştir (izin alınarak)
  • Güvenlik şeref salonumuza eklendi
  • Hediye veya başka bir tanınma ile sağlandı

Not: Şu anda bir hata ödülü programı sunmuyoruz, ancak sorumlu bir şekilde açıklama yapmanızı önemsiyoruz ve katkılarınızı takdir ediyoruz.